Deyarli har bir foydalanuvchi o'z kompyuterida virusga qarshi dasturlarga ega, lekin ba'zida troyan yoki virus paydo bo'ladi, ular eng ko'p narsalarni chetlab o'tishi mumkin. yaxshiroq himoya va qurilmangizni yuqtiring va undan ham yomoni, ma'lumotlaringizni shifrlang. Bu safar "Petya" yoki "Petya" deb ataladigan shifrlovchi troyan shunday virusga aylandi. Ushbu tahdidning tarqalish tezligi juda ta'sirli: bir necha kun ichida u Rossiya, Ukraina, Isroil, Avstraliya, AQSh, Evropaning barcha yirik davlatlari va boshqalarga "tashrif buyurdi". Bu asosan korporativ foydalanuvchilarga (aeroportlar, elektr stantsiyalari, turizm sanoati) ta'sir ko'rsatdi, ammo oddiy odamlar ham ta'sir ko'rsatdi. O'zining ko'lami va ta'sir qilish usullari bo'yicha u yaqinda bo'lgan shov-shuvga juda o'xshaydi.

Yangi "Petya" troyan ransomware dasturi qurboni bo'lmaslik uchun, albatta, kompyuteringizni himoya qilishingiz kerak. Ushbu maqolada men sizga bu qanday "Petya" virusi, qanday tarqalishi va o'zingizni ushbu tahdiddan qanday himoya qilish kerakligini aytaman. Bundan tashqari, biz troyanlarni olib tashlash va ma'lumotlarni shifrlash masalalariga to'xtalamiz.

Petya virusi nima?

Birinchidan, Petya nima ekanligini tushunishimiz kerak. Petya virusi zararli dastur bo'lib, ransomware turidagi troyan (ransomware). Ushbu viruslar shifrlangan ma'lumotlar uchun to'lov olish uchun zararlangan qurilmalar egalarini shantaj qilish uchun mo'ljallangan. Wanna Cry-dan farqli o'laroq, Petya alohida fayllarni shifrlash bilan o'zini bezovta qilmaydi - u deyarli bir zumda butun faylni "olib qo'yadi". qattiq disk butunlay.

Yangi virusning to'g'ri nomi Petya.A. Bundan tashqari, Kasperskiy uni NotPetya/ExPetr deb ataydi.

Petya virusining tavsifi

Kompyuteringizni ishga tushirgandan so'ng Windows tizimlari, Petya deyarli bir zumda shifrlaydi MFT(Master fayl jadvali - fayllarning asosiy jadvali). Ushbu jadval nima uchun javob beradi?

Sizning qattiq diskingiz butun koinotdagi eng katta kutubxona ekanligini tasavvur qiling. U milliardlab kitoblarni o'z ichiga oladi. Xo'sh, qanday qilib to'g'ri kitobni topasiz? Faqat kutubxona katalogi orqali. Petya bu katalogni yo'q qiladi. Shunday qilib, siz shaxsiy kompyuteringizda biron bir "fayl" ni topish imkoniyatini yo'qotasiz. Aniqroq qilib aytadigan bo'lsak, Petitning "ishi" dan so'ng, kompyuteringizning qattiq diski tornadodan keyin kutubxonaga o'xshab ketadi, kitob parchalari hamma joyda uchib ketadi.

Shunday qilib, men maqolaning boshida aytib o'tgan Wanna Cry-dan farqli o'laroq, Petya.A shifrlamaydi. alohida fayllar, bunga ko'p vaqt sarflash - u sizdan ularni topish uchun har qanday imkoniyatdan mahrum qiladi.

Uning barcha manipulyatsiyalaridan so'ng, u foydalanuvchilardan to'lov talab qiladi - 300 AQSh dollari, bu Bitcoin hisobiga o'tkazilishi kerak.

Petya virusini kim yaratgan?

Petya virusini yaratishda Windows operatsion tizimida "EternalBlue" deb nomlangan ekspluatatsiya ("teshik") ishlatilgan. Microsoft bir necha oy oldin ushbu teshikni "yopib qo'yadigan" yamoqni chiqardi, ammo hamma ham undan foydalanmaydi litsenziyalangan nusxasi Windows barcha tizim yangilanishlarini o'rnatadi, to'g'rimi?)

"Petya" ning yaratuvchisi korporativ va xususiy foydalanuvchilarning beparvoligidan oqilona foydalanishga va undan pul ishlashga muvaffaq bo'ldi. Uning shaxsi hali noma'lum (va ma'lum bo'lishi dargumon)

Petya virusi qanday tarqaladi?

Petya virusi ko'pincha qo'shimchalar niqobi ostida tarqaladi elektron pochta xabarlari va qaroqchilik bilan zararlangan dasturiy ta'minot bilan arxivlarda. Qo'shimchada mutlaqo har qanday fayl, jumladan, fotosurat yoki mp3 bo'lishi mumkin (bir qarashda ko'rinadigandek). Faylni ishga tushirganingizdan so'ng, kompyuteringiz qayta ishga tushadi va virus CHKDSK xatolar uchun disk tekshiruvini taqlid qiladi va ayni paytda u kompyuteringizning yuklash yozuvini (MBR) o'zgartiradi. Shundan so'ng siz kompyuteringiz ekranida qizil bosh suyagini ko'rasiz. Har qanday tugmani bosish orqali sizdan fayllarni shifrlash uchun to'lash talab qilinadigan matnga kirishingiz va kerakli miqdorni bitcoin hamyoniga o'tkazishingiz mumkin.

O'zingizni Petya virusidan qanday himoya qilish kerak?

• Eng muhimi va asosiysi, operatsion tizimingiz uchun yangilanishlarni o'rnatishni qoidaga aylantirishdir! Bu nihoyatda muhim. Buni hozir qiling, kechiktirmang.
• Harflarga biriktirilgan barcha qo'shimchalarga alohida e'tibor bering, xatlar siz bilgan odamlardan bo'lsa ham. Epidemiya davrida ma'lumotlarni uzatishning muqobil manbalaridan foydalanish yaxshiroqdir.
• OS sozlamalarida "Fayl kengaytmalarini ko'rsatish" opsiyasini faollashtiring - shu tarzda siz har doim haqiqiy fayl kengaytmasini ko'rishingiz mumkin.
• Windows sozlamalarida "Foydalanuvchi hisobini boshqarish" ni yoqing.
• INFEKTSION oldini olish uchun ulardan birini o'rnatishingiz kerak. OS yangilanishini o'rnatishdan boshlang, keyin antivirusni o'rnating - va siz avvalgidan ancha xavfsizroq bo'lasiz.
• "Zaxira nusxalarini" yaratganingizga ishonch hosil qiling - barcha muhim ma'lumotlarni tashqi qattiq diskka yoki bulutga saqlang. Keyin, agar Petya virusi sizning shaxsiy kompyuteringizga kirib, barcha ma'lumotlarni shifrlasa, uni formatlash juda oson bo'ladi. qattiq disk va operatsion tizimni qayta o'rnating.
• Har doim tegishliligini tekshiring antivirus ma'lumotlar bazalari sizning antivirusingiz. Hammasi yaxshi antiviruslar tahdidlarni kuzatib borish va tahdid imzolarini yangilash orqali ularga o'z vaqtida javob berish.
• Bepul Kaspersky Anti-Ransomware yordam dasturini o'rnating. Bu sizni viruslarni shifrlashdan himoya qiladi. Ushbu dasturni o'rnatish sizni antivirusni o'rnatish zaruratidan xalos qilmaydi.

Petya virusini qanday olib tashlash mumkin?

Petya.A virusini qattiq diskdan qanday olib tashlash mumkin? Bu juda qiziq savol. Haqiqat shundaki, agar virus sizning ma'lumotlaringizni allaqachon bloklagan bo'lsa, unda o'chirish uchun hech narsa bo'lmaydi. Agar siz to'lov dasturini to'lashni rejalashtirmasangiz (buni qilmasligingiz kerak) va kelajakda diskdagi ma'lumotlarni tiklashga urinmasangiz, shunchaki diskni formatlashingiz va OTni qayta o'rnatishingiz mumkin. Shundan so'ng virusning izi qolmaydi.

Agar siz diskingizda virusli fayl borligiga shubha qilsangiz, ulardan biri bilan diskingizni skanerlang yoki Kasperskiy antivirusini o'rnating va tizimni to'liq skanerlang. Ishlab chiquvchi uning imzo bazasi allaqachon ushbu virus haqida ma'lumotga ega ekanligiga ishontirdi.

Petya shifrlovchi

Petya.A ma'lumotlaringizni juda kuchli algoritm bilan shifrlaydi. Yoniq bu daqiqa Bloklangan ma'lumotlarning shifrini ochish uchun hech qanday yechim yo'q. Bundan tashqari, siz uyda ma'lumotlarga kirishga urinmasligingiz kerak.

Shubhasiz, biz hammamiz Petya.A mo''jizaviy shifrlovchisini olishni orzu qilgan bo'lardik, ammo bunday yechim yo'q. Virus bir necha oy oldin dunyoga tarqaldi, ammo u shifrlagan ma'lumotlarni shifrlashning davosi hech qachon topilmadi.

Shuning uchun, agar siz hali Petya virusining qurboni bo'lmasangiz, maqolaning boshida bergan maslahatlarimni tinglang. Agar siz ma'lumotlaringiz ustidan nazoratni yo'qotib qo'ysangiz, sizda bir nechta variant mavjud.

• Pul to'lash. Buni qilishdan foyda yo'q! Mutaxassislar allaqachon ma'lum bo'lishicha, virus yaratuvchisi ma'lumotlarni qayta tiklamaydi va shifrlash texnikasini hisobga olgan holda uni qayta tiklay olmaydi.
• Qattiq diskni qurilmangizdan chiqarib oling, uni ehtiyotkorlik bilan kabinetga joylashtiring va paydo bo'lishi uchun parol hal qiluvchi tugmasini bosing. Aytgancha, Kasperskiy laboratoriyasi ushbu yo'nalishda doimiy ish olib boradi. Mavjud decryptorlar No Ransom veb-saytida mavjud.
• Diskni formatlash va operatsion tizimni o'rnatish. Minus - barcha ma'lumotlar yo'qoladi.

Rossiyadagi Petya virusi

Rossiya va Ukrainada 80 dan ortiq kompaniyalar, jumladan, Bashneft va Rosneft kabi yirik kompaniyalar hujumga uchragan. Bunday yirik kompaniyalar infratuzilmasini yuqtirish Petya.A virusining jiddiyligini ko'rsatadi. Hech qanday shubha yo'qki, troyan to'lov dasturi butun Rossiya bo'ylab tarqalishda davom etadi, shuning uchun siz ma'lumotlaringiz xavfsizligi haqida g'amxo'rlik qilishingiz va maqolada keltirilgan tavsiyalarga amal qilishingiz kerak.

Petya.A va Android, iOS, Mac, Linux

Ko'pgina foydalanuvchilar Petya virusi ostidagi qurilmalarini yuqtirishi mumkinligidan xavotirda Android boshqaruvi va iOS. Men ularni ishontirishga shoshilaman - yo'q, mumkin emas. U faqat Windows OS foydalanuvchilari uchun mo'ljallangan. Xuddi shu narsa Linux va Mac muxlislariga ham tegishli - siz tinchgina uxlashingiz mumkin, hech narsa sizga tahdid solmaydi.

Xulosa

Shunday qilib, bugun biz yangi Petya.A virusini batafsil muhokama qildik. Biz ushbu troyan nima ekanligini va u qanday ishlashini tushundik, o'zimizni infektsiyadan qanday himoya qilish va virusni olib tashlashni va Petya shifrini qayerdan olishni o'rgandik. Umid qilamanki, maqola va mening maslahatlarim siz uchun foydali bo'ldi.

, 2017 yil 18 iyul

Butun dunyo bo'ylab ko'plab kompyuterlarni zararlagan Petya to'lov dasturi (NotPetya, ExPetr) virusi haqidagi eng muhim savollarga javoblar.

Bu oy biz bir necha hafta o'tgach, yana bir yirik to'lov dasturi hujumiga guvoh bo'ldik. Bir necha kun ichida to'lov dasturining ushbu modifikatsiyasi ko'plab turli nomlarni oldi, jumladan Petya (asl virusning nomi), NotPetya, EternalPetya, Nyetya va boshqalar. Biz uni dastlab "Petya oilasi virusi" deb atadik, ammo qulaylik uchun biz uni oddiygina Petna deb ataymiz.

Petna atrofida, hatto uning nomidan tashqarida juda ko'p noaniqliklar mavjud. Bu Petya bilan bir xil to'lov dasturimi yoki boshqa versiyami? Petna to'lov talab qiladigan to'lov dasturi yoki shunchaki ma'lumotlarni yo'q qiladigan virus deb hisoblanishi kerakmi? Keling, o'tgan hujumning ba'zi jihatlariga oydinlik kiritaylik.

Petna hali ham tarqalmoqdami?

Bir necha kun oldin eng yuqori faollik. Virusning tarqalishi 27-iyun kuni ertalab boshlangan. Xuddi shu kuni uning faolligi eng yuqori darajaga yetdi, har soatda minglab hujumga urinishlar sodir bo'ldi. Shundan so'ng, xuddi shu kun davomida ularning intensivligi sezilarli darajada kamaydi va keyinchalik faqat oz miqdordagi infektsiyalar kuzatildi.

Ushbu hujumni WannaCry bilan solishtirish mumkinmi?

Yo'q, bizning qamrovimizga ko'ra foydalanuvchi bazasi. Biz butun dunyo bo'ylab taxminan 20 000 ta hujumga urinishlarni kuzatdik, bu biz to'sqinlik qilgan 1,5 million WannaCry hujumi bilan mitti.

Qaysi davlatlar eng ko'p zarar ko'rgan?

Bizning telemetriya ma'lumotlarimiz shuni ko'rsatadiki, virusning asosiy ta'siri Ukrainada bo'lib, u erda hujumlarga urinishlarning 90% dan ortig'i aniqlangan. Rossiya, AQSh, Litva, Belarus, Belgiya va Braziliya ham zarar ko'rdi. Ushbu mamlakatlarning har birida bir necha o'ndan bir necha yuzgacha infektsiyaga urinishlar qayd etilgan.

Qaysi operatsion tizimlar zararlangan?

Hujumlarning eng ko'p soni ishlayotgan qurilmalarda qayd etilgan Windows boshqaruvi 7 (78%) va Windows XP (14%). Hujumlar soni tugadi zamonaviy tizimlar sezilarli darajada kam bo'lib chiqdi.

Petna virusi shaxsiy kompyuteringizga qanday kirdi?

Kiberepidemiyaning rivojlanish yo'llarini tahlil qilib, biz M.E.Doc Ukraina buxgalteriya dasturini yangilash bilan bog'liq bo'lgan infektsiyaning asosiy vektorini topdik. Shuning uchun Ukraina jiddiy zarar ko'rdi.

Achchiq paradoks: xavfsizlik nuqtai nazaridan foydalanuvchilarga har doim o'z dasturiy ta'minotini yangilash tavsiya etiladi, ammo bu holda virus M.E.Doc tomonidan chiqarilgan dasturiy ta'minotni yangilash bilan aniq keng miqyosda tarqala boshladi.

Nima uchun Ukrainadan tashqaridagi kompyuterlar ham ta'sir qildi?

Buning bir sababi shundaki, zarar ko'rgan ba'zi kompaniyalarning Ukrainadagi sho''ba korxonalari bor. Virus kompyuterga kirsa, u butun tarmoqqa tarqaladi. Shu tariqa u boshqa mamlakatlardagi kompyuterlarga erisha oldi. Biz boshqa mumkin bo'lgan infektsiya vektorlarini tekshirishda davom etamiz.

Infektsiyadan keyin nima bo'ladi?

Qurilmaga zarar yetkazilgach, Petna ma'lum kengaytmali fayllarni shifrlashga harakat qiladi. Maqsadli fayllar ro'yxati asl Petya virusi va boshqa to'lov dasturlari ro'yxati bilan solishtirganda unchalik katta emas, lekin u fotosuratlar, hujjatlar, manba kodlari, ma'lumotlar bazalari, disk tasvirlari va boshqalarning kengaytmalarini o'z ichiga oladi. Bundan tashqari, ushbu dastur nafaqat fayllarni shifrlaydi, balki mahalliy tarmoqqa ulangan boshqa qurilmalarga ham qurt kabi tarqaladi.

Qanday qilib, virus uchtadan foydalanadi turli yo'llar bilan tarqatish: EternalBlue (WannaCry’dan ma’lum) yoki EternalRomance ekspluatatsiyalaridan foydalanish, jabrlanuvchidan o‘g‘irlangan hisobga olish ma’lumotlari (Mimikatz kabi parollarni olish mumkin bo‘lgan yordam dasturlari yordamida), shuningdek, PsExec va WMIC kabi ishonchli vositalar yordamida Windows tarmog‘i ulushlari orqali.

Fayllarni shifrlash va tarmoq bo'ylab tarqalgach, virus sindirishga harakat qiladi Windows-ni yuklash(bosh yuklash yozuvini o'zgartirish, MBR) va majburiy qayta ishga tushirilgandan so'ng, asosiy fayl jadvalini (MFT) shifrlaydi. tizim diski. Bu kompyuterga Windows-ni boshqa yuklashdan saqlaydi va kompyuterdan foydalanishni imkonsiz qiladi.

Petna o'rnatilgan barcha xavfsizlik yangilanishlari bilan mening kompyuterimni yuqtirishi mumkinmi?

Ha, bu yuqorida tavsiflangan zararli dasturlarning gorizontal tarqalishi tufayli mumkin. Agarda maxsus qurilma EternalBlue va EternalRomance dan himoyalangan bo'lsa ham, u uchinchi yo'l bilan yuqtirilishi mumkin.

Bu Petua, WannaCry 2.0 yoki boshqa narsami?

Petna virusi, albatta, asl Petna to'lov dasturiga asoslangan. Masalan, asosiy fayl jadvalini shifrlash uchun mas'ul bo'lgan qismda u ilgari duch kelgan tahdid bilan deyarli bir xil. Biroq, bu to'lov dasturining eski versiyalari bilan mutlaqo bir xil emas. Virus Janus nomi bilan tanilgan asl muallif emas, balki uchinchi tomon tomonidan o'zgartirilgan deb ishoniladi. Twitter, va keyinchalik dasturning barcha oldingi versiyalari uchun asosiy dekodlash kalitini nashr etdi.

Petna va WannaCry o'rtasidagi asosiy o'xshashlik shundaki, ular tarqalish uchun EternalBlue ekspluatatsiyasidan foydalanganlar.

Virus hech narsani shifrlamaydi, shunchaki disklardagi ma'lumotlarni yo'q qiladi, bu rostmi?

Bu yolg'on. Ushbu zararli dastur faqat fayllar va asosiy fayllar jadvalini (MFT) shifrlaydi. Yana bir savol - bu fayllarni shifrlash mumkinmi.

Bepul parol hal qilish vositasi mavjudmi?

Afsuski yo'q. Virus juda kuchli shifrlash algoritmidan foydalanadi, uni engib bo'lmaydi. U nafaqat fayllarni, balki asosiy fayl jadvalini (MFT) ham shifrlaydi, bu shifrni ochish jarayonini juda qiyinlashtiradi.

To'lovni to'lashga arziydimi?

Yo'q! Biz hech qachon to'lovni tavsiya etmaymiz, chunki bu faqat jinoyatchilarni qo'llab-quvvatlaydi va ularni bunday faoliyatni davom ettirishga undaydi. Bundan tashqari, siz to'lasangiz ham, ma'lumotlaringizni qaytarib olmaysiz. Bu holatda, bu har qachongidan ham aniqroq. Va shuning uchun ham.

To'lov so'rovi oynasida ko'rsatilgan rasmiy elektron pochta manzili [elektron pochta himoyalangan], jabrlanuvchilardan to'lov yuborish so'ralgan, virus hujumidan ko'p o'tmay, elektron pochta xizmati provayderi tomonidan yopildi. Shu sababli, ransomware yaratuvchilari kim to'lagan va kim to'lamaganligini aniqlay olmaydi.

MFT bo'limining shifrini ochish printsipial jihatdan mumkin emas, chunki to'lov dasturi uni shifrlagandan so'ng kalit yo'qoladi. IN oldingi versiyalar virus, bu kalit jabrlanuvchi identifikatorida saqlangan, ammo oxirgi modifikatsiyada bu shunchaki tasodifiy qator.

Bundan tashqari, fayllarga qo'llaniladigan shifrlash juda xaotik. Qanaqasiga

2017-yil 27-iyun kuni WannaCry’ga o‘xshash keng ko‘lamli hujumga uchragan Rossiya va Ukraina mamlakatlarida qayd etilgan xakerlik tahdidi haqida allaqachon xabardor bo‘lishingiz mumkin. Virus kompyuterlarni bloklaydi va fayllar shifrini ochish uchun bitkoinlarda to'lov talab qiladi. Hammasi bo‘lib, har ikki davlatning 80 dan ortiq kompaniyasi, jumladan, Rossiyaning “Rosneft” va “Bashneft” kompaniyalari zarar ko‘rdi.

Ransomware virusi, xuddi mashhur WannaCry kabi, barcha kompyuter ma'lumotlarini bloklab qo'ydi va jinoyatchilarga 300 dollar ekvivalentidagi bitkoinlarda to'lovni talab qiladi. Ammo Wanna Cry-dan farqli o'laroq, Petya alohida fayllarni shifrlash bilan bezovta qilmaydi - u deyarli bir zumda sizning ma'lumotingizni "olib tashlaydi". hammasi qiyin butun disk.

Ushbu virusning to'g'ri nomi Petya.A. ESET hisoboti Diskcoder.C ning ba'zi imkoniyatlarini ochib beradi (aka ExPetr, PetrWrap, Petya yoki NotPetya)

Barcha jabrlanganlarning statistik ma'lumotlariga ko'ra, virus zararlangan qo'shimchalari bo'lgan fishing elektron pochta xabarlarida tarqatilgan. Odatda xat ochish so'rovi bilan birga keladi Matnli hujjat, va ikkinchi fayl kengaytmasini qanday bilamiz Xabar.exe yashirin, lekin ustuvorlik so'nggi kengaytmalar fayl. Odatiy bo'lib, Windows operatsion tizimi fayl kengaytmalarini ko'rsatmaydi va ular quyidagicha ko'rinadi:

8.1 da, Explorer oynasida (Ko'rish\Folder Options\Ro'yxatdan o'tgan fayl turlari uchun kengaytmalarni yashirish belgisini olib tashlang)

Explorer oynasida 7-da (Alt\Tools\Folder Options\Malum fayl turlari uchun kengaytmalarni yashirish belgisini olib tashlang)

Eng yomoni, noma'lum foydalanuvchilardan xatlar kelib, tushunarsiz fayllarni ochishni so'rashi foydalanuvchilarni hatto bezovta qilmaydi.

Faylni ochgandan so'ng, foydalanuvchi " ko'k ekran o'lim ".

Qayta ishga tushirilgandan so'ng, "Diskni skanerlash" ishga tushganga o'xshaydi; aslida virus fayllarni shifrlaydi.

Boshqa to'lov dasturidan farqli o'laroq, ushbu virus ishga tushgandan so'ng u darhol kompyuteringizni qayta ishga tushiradi va u qayta ishga tushganda ekranda quyidagi xabar paydo bo'ladi: “KOMPYUTERINGIZNI O'CHMANG! AGAR SIZ BU JARAYONNI TO'XT ETSANGIZ HAMMA MA'LUMOTLARINGIZNI YO'Q QILIShINGIZ MUMKIN! ILTIMOS, KOMPYUTERINGIZ ZARYADA QURILGANGA ULLANGANligiga ishonch hosil qiling!” O'xshash bo'lishi mumkin bo'lsa-da tizim xatosi, aslida, Petya hozirda yashirin rejimda jimgina shifrlashni amalga oshirmoqda. Agar foydalanuvchi tizimni qayta ishga tushirishga yoki faylni shifrlashni to'xtatishga harakat qilsa, ekranda "HAR QANDAY TUGMANI BOSING!" Matn bilan miltillovchi qizil skelet paydo bo'ladi. Nihoyat, tugmani bosgandan so'ng, to'lov yozuvi bilan yangi oyna paydo bo'ladi. Ushbu eslatmada jabrlanuvchidan 0,9 bitkoin to'lash so'raladi, bu taxminan 400 dollarni tashkil etadi. Biroq, bu narx faqat bitta kompyuter uchun. Shuning uchun, ko'plab kompyuterlarga ega bo'lgan kompaniyalar uchun bu miqdor minglab bo'lishi mumkin. Ushbu to'lov dasturining farqi shundaki, u sizga to'lovni to'lash uchun ushbu toifadagi boshqa viruslar beradigan odatdagi 12-72 soat o'rniga to'liq bir hafta beradi.

Bundan tashqari, Petya bilan bog'liq muammolar shu bilan tugamaydi. Ushbu virus tizimga kirgandan so'ng, u yuklashni qayta yozishga harakat qiladi Windows fayllari, yoki operatsion tizimni yuklash uchun zarur bo'lgan yuklashni yozish ustasi. Master Boot Recorder (MBR) sozlamalarini tiklamaguningizcha, siz Petya virusini kompyuteringizdan olib tashlay olmaysiz. Agar siz ushbu sozlamalarni to'g'irlab, virusni tizimingizdan olib tashlasangiz ham, afsuski, fayllaringiz shifrlangan bo'lib qoladi, chunki virusni o'chirish fayllarning shifrini ochmaydi, balki faqat yuqumli fayllarni o'chiradi. Albatta, agar siz kompyuteringiz bilan ishlashni davom ettirmoqchi bo'lsangiz, virusni olib tashlash juda muhimdir

Windows kompyuteringizda Petya deyarli bir zumda MFT (Master File Table) ni shifrlaydi. Ushbu jadval nima uchun javob beradi?

Sizning qattiq diskingiz butun koinotdagi eng katta kutubxona ekanligini tasavvur qiling. U milliardlab kitoblarni o'z ichiga oladi. Xo'sh, qanday qilib to'g'ri kitobni topasiz? Faqat kutubxona katalogi orqali. Petya bu katalogni yo'q qiladi. Shunday qilib, siz shaxsiy kompyuteringizda biron bir "fayl" ni topish imkoniyatini yo'qotasiz. Aniqroq qilib aytadigan bo'lsak, Petya "ishlaganidan" keyin kompyuteringizning qattiq diski tornadodan keyin kutubxonaga o'xshab qoladi, kitob parchalari hamma joyda uchib ketadi.

Shunday qilib, Wanna Cry-dan farqli o'laroq, Petya.A alohida fayllarni shifrlamaydi, bunga ko'p vaqt sarflaydi - bu shunchaki ularni topish uchun har qanday imkoniyatni yo'qotadi.

Petya virusini kim yaratgan?

Petya virusini yaratishda Windows operatsion tizimida "EternalBlue" deb nomlangan ekspluatatsiya ("teshik") ishlatilgan. Microsoft yamoq chiqardi kb4012598(WannaCry-da ilgari chiqarilgan darslardan biz allaqachon ushbu teshikni "yopib qo'yadigan" yangilanish haqida gaplashdik.

Petya yaratuvchisi korporativ va xususiy foydalanuvchilarning beparvoligidan oqilona foydalanishga va undan pul ishlashga muvaffaq bo'ldi. Uning shaxsi hali noma'lum (va ma'lum bo'lishi dargumon)

Petya virusini qanday olib tashlash mumkin?

Petya.A virusini qattiq diskdan qanday olib tashlash mumkin? Bu juda qiziq savol. Haqiqat shundaki, agar virus sizning ma'lumotlaringizni allaqachon bloklagan bo'lsa, unda o'chirish uchun hech narsa bo'lmaydi. Agar siz to'lov dasturini to'lashni rejalashtirmasangiz (buni qilmasligingiz kerak) va kelajakda diskdagi ma'lumotlarni tiklashga urinmasangiz, shunchaki diskni formatlashingiz va OTni qayta o'rnatishingiz mumkin. Shundan so'ng virusning izi qolmaydi.

Agar diskingizda virusli fayl borligiga shubha qilsangiz, diskingizni ESET Nod 32 antivirusi bilan skanerlang va tizimni to'liq skanerlang. NOD 32 kompaniyasi o'zining imzo bazasi allaqachon ushbu virus haqida ma'lumotga ega ekanligiga ishontirdi.

Petya shifrlovchi

Petya.A ma'lumotlaringizni juda kuchli shifrlash algoritmi bilan shifrlaydi. Hozirda bloklangan ma'lumotlarning shifrini ochish uchun hech qanday yechim yo'q.

Shubhasiz, biz hammamiz Petya.A mo''jizaviy shifrlovchisini olishni orzu qilgan bo'lardik, ammo bunday yechim yo'q. WannaCry virusi bir necha oy oldin dunyoga kirdi, ammo u shifrlagan ma'lumotlarni shifrlashning davosi hech qachon topilmadi.

Bitta variant, agar sizda ilgari fayllarning soyali nusxalari bo'lsa.

Shuning uchun, agar siz hali Petya.A virusining qurboni bo'lmagan bo'lsangiz, operatsion tizimingizni yangilang, ESET NOD 32-dan antivirusni o'rnating. Agar siz hali ham ma'lumotlaringiz ustidan nazoratni yo'qotib qo'ysangiz, unda sizda bir nechta variant bor.

Pul to'lash. Buni qilishdan foyda yo'q! Mutaxassislar allaqachon ma'lum bo'lishicha, virus yaratuvchisi ma'lumotlarni qayta tiklamaydi va shifrlash texnikasini hisobga olgan holda uni qayta tiklay olmaydi.

Virusni kompyuteringizdan olib tashlashga harakat qiling va fayllarni soya nusxasi yordamida tiklashga harakat qiling (virus ularga ta'sir qilmaydi).

Qattiq diskni qurilmangizdan chiqarib oling, uni ehtiyotkorlik bilan kabinetga joylashtiring va paydo bo'lishi uchun parol hal qiluvchi tugmasini bosing.

Diskni formatlash va operatsion tizimni o'rnatish. Minus - barcha ma'lumotlar yo'qoladi.

Petya.A va Android, iOS, Mac, Linux

Ko'pgina foydalanuvchilar Petya virusi Android va iOS qurilmalariga zarar etkazishi mumkinligidan xavotirda. Men ularni ishontirishga shoshilaman - yo'q, mumkin emas. U faqat Windows OS foydalanuvchilari uchun mo'ljallangan. Xuddi shu narsa Linux va Mac muxlislariga ham tegishli - siz tinchgina uxlashingiz mumkin, hech narsa sizga tahdid solmaydi.

Petya virusining hujumi ko'plab mamlakatlar aholisi uchun yoqimsiz ajablanib bo'ldi. Minglab kompyuterlar zararlangan, bu esa foydalanuvchilarning qattiq disklarida saqlangan muhim ma'lumotlarni yo'qotishiga sabab bo'lgan.

Albatta, hozir bu voqea atrofidagi shov-shuvlar barham topdi, ammo bunday holat boshqa takrorlanmasligiga hech kim kafolat bera olmaydi. Shuning uchun kompyuteringizni mumkin bo'lgan tahdidlardan himoya qilish va keraksiz tavakkal qilmaslik juda muhimdir. Buni qanday qilib eng samarali qilish haqida quyida muhokama qilinadi.

Hujumning oqibatlari

Avvalo, Petya.A ning qisqa muddatli faoliyati qanday oqibatlarga olib kelganini esga olishimiz kerak. Bir necha soat ichida o'nlab Ukraina va Rossiya kompaniyalari zarar ko'rdi. Aytgancha, Ukrainada "Dneprenergo", " kabi muassasalarning kompyuter bo'limlari ishi. Yangi pochta" va "Kiyev metrosi". Bundan tashqari, ba'zi davlat tashkilotlari, banklar va uyali aloqa operatorlari Petya virusidan himoyalanmagan.

Evropa Ittifoqi mamlakatlarida to'lov dasturi ham ko'p muammolarni keltirib chiqarishga muvaffaq bo'ldi. Frantsiya, Daniya, Angliya va xalqaro kompaniyalar Petya kompyuter virusi hujumi tufayli vaqtinchalik uzilishlar haqida xabar berishdi.

Ko'rib turganingizdek, tahdid haqiqatan ham jiddiy. Hujumchilar o'zlarining qurbonlari sifatida yirik moliyaviy tashkilotlarni tanlagan bo'lsalar ham, oddiy foydalanuvchilar bundan kam zarar ko'rishdi.

Petya qanday ishlaydi?

O'zingizni Petya virusidan qanday himoya qilishni tushunish uchun avval uning qanday ishlashini tushunishingiz kerak. Shunday qilib, kompyuterga kirgandan so'ng, zararli dastur Internetdan maxsus to'lov dasturini yuklab oladi va u zararlaydi. Master Boot Yozib olish. Bu qattiq diskdagi foydalanuvchining ko'zidan yashiringan va operatsion tizimni yuklash uchun mo'ljallangan alohida maydon.

Foydalanuvchi uchun bu jarayon to'satdan tizimning ishdan chiqishidan keyin Check Disk dasturining standart ishlashiga o'xshaydi. Kompyuter to'satdan qayta ishga tushadi va ekranda bu haqda xabar paydo bo'ladi qattiq tekshirish xatolar uchun disk va quvvatni o'chirmang.

Ushbu jarayon tugashi bilan bloklangan kompyuter haqida ma'lumotga ega ekran pardasi paydo bo'ladi. Petya virusini yaratuvchisi foydalanuvchidan 300 dollar (17,5 ming rubldan ortiq) to'lovni talab qiladi va buning evaziga shaxsiy kompyuterning ishlashini tiklash uchun zarur bo'lgan kalitni yuborishni va'da qiladi.

Oldini olish

INFEKTSION oldini olish ancha oson ekanligi mantiqan kompyuter virusi Keyinchalik uning oqibatlarini bartaraf etishdan ko'ra, "Petya". Kompyuteringizni himoya qilish uchun:

• Har doim operatsion tizimingiz uchun eng so'nggi yangilanishlarni o'rnating. Xuddi shu narsa, printsipial jihatdan, hamma narsaga tegishli dasturiy ta'minot kompyuteringizga o'rnatilgan. Aytgancha, "Petya" MacOS va Linux bilan ishlaydigan kompyuterlarga zarar etkaza olmaydi.
• Antivirusning so'nggi versiyalaridan foydalaning va uning ma'lumotlar bazasini yangilashni unutmang. Ha, maslahat oddiy, ammo hamma ham unga amal qilmaydi.
• Sizga elektron pochta orqali yuborilgan shubhali fayllarni ochmang. Bundan tashqari, har doim shubhali manbalardan yuklab olingan ilovalarni tekshiring.
• Buni muntazam ravishda bajaring zaxira nusxalari muhim hujjatlar va fayllar. Ularni alohida muhitda yoki "bulutda" (Google Drive, Yandex. Disk va boshqalar) saqlash yaxshidir. Buning yordamida kompyuteringizga biror narsa bo'lsa ham, qimmatli ma'lumotlar buzilmaydi.

To'xtash faylini yaratish

Etakchi ishlab chiquvchilar antivirus dasturlari Petya virusini qanday olib tashlashni bilib oldik. Aniqrog'i, ular o'zlarining tadqiqotlari tufayli infektsiyaning dastlabki bosqichlarida to'lov dasturi kompyuterda nimani topishga harakat qilayotganini tushunishga muvaffaq bo'lishdi. mahalliy fayl. Agar u muvaffaqiyatli bo'lsa, virus ishlashni to'xtatadi va shaxsiy kompyuterga zarar etkazmaydi.

Oddiy qilib aytganda, siz qo'lda bir turdagi to'xtash faylini yaratishingiz va shu bilan kompyuteringizni himoya qilishingiz mumkin. Buning uchun:

• Jild parametrlari sozlamalarini oching va "Ma'lum fayl turlari uchun kengaytmalarni yashirish" belgisini olib tashlang.
• Notepad yordamida yangi fayl yarating va uni C:/Windows katalogiga joylashtiring.
• Yaratilgan hujjatning nomini o'zgartiring, uni "perfc" deb nomlang. Keyin "Faqat o'qish" opsiyasiga o'ting va yoqing.

Endi Petya virusi, kompyuteringizda bir marta, unga zarar etkaza olmaydi. Ammo shuni yodda tutingki, tajovuzkorlar kelajakda ularni o'zgartirishi mumkin. zararli dastur va to'xtash faylini yaratish usuli samarasiz bo'ladi.

Agar infektsiya allaqachon sodir bo'lgan bo'lsa

Kompyuter o'z-o'zidan qayta ishga tushganda va Diskni tekshiring, virus faqat fayllarni shifrlashni boshlaydi. Bunday holda, quyidagi amallarni bajarib, ma'lumotlaringizni saqlash uchun hali ham vaqtingiz bo'lishi mumkin:

• Darhol kompyuterning quvvatini o'chiring. Bu virus tarqalishining oldini olishning yagona yo'li.
• Keyinchalik, qattiq diskni boshqa kompyuterga ulashingiz kerak (yuklash drayveri sifatida emas!) va undan muhim ma'lumotlarni nusxalash kerak.
• Shundan so'ng siz zararlangan qattiq diskni to'liq formatlashingiz kerak. Tabiiyki, keyin siz uni qayta o'rnatishingiz kerak bo'ladi operatsion tizim va boshqa dasturlar.

Shu bilan bir qatorda, siz maxsus foydalanishingiz mumkin yuklash diski Petya virusini davolash uchun. Masalan, Kasperskiy Anti-Virus ushbu maqsadlar uchun dasturni taqdim etadi Kasperskiy qutqaruvi Operatsion tizimni chetlab o'tuvchi disk.

Tovlamachilarga pul to'lashga arziydimi?

Avval aytib o‘tganimizdek, Petya yaratuvchilari kompyuterlari zararlangan foydalanuvchilardan 300 dollar to‘lashni talab qilmoqda. Tovlamachilarning so‘zlariga ko‘ra, belgilangan miqdor to‘langanidan so‘ng jabrlanuvchilarga ma’lumotlar bloklanishini bartaraf etadigan kalit yuboriladi.

Muammo shundaki, kompyuterini normal holatga qaytarmoqchi bo'lgan foydalanuvchi tajovuzkorlarga yozishi kerak elektron pochta. Biroq, barcha ransomware elektron pochta xabarlari vakolatli xizmatlar tomonidan tezda bloklanadi, shuning uchun ular bilan bog'lanishning iloji yo'q.

Bundan tashqari, ko'plab etakchi antivirus dasturlarini ishlab chiquvchilar Petya tomonidan zararlangan kompyuterni biron bir kod yordamida qulfdan chiqarish mutlaqo mumkin emasligiga ishonishadi.

Siz tushunganingizdek, tovlamachilarga pul to'lamaslik kerak. Aks holda, siz nafaqat ishlamaydigan shaxsiy kompyuter bilan qolasiz, balki katta miqdordagi pulni ham yo'qotasiz.

Yangi hujumlar bo'ladimi?

Petya virusi birinchi marta 2016 yil mart oyida topilgan. Keyin xavfsizlik mutaxassislari tahdidni tezda payqab, uning ommaviy tarqalishining oldini olishdi. Ammo 2017 yil iyun oyining oxirida hujum yana takrorlandi, bu juda jiddiy oqibatlarga olib keldi.

Hamma narsa shu bilan tugashi dargumon. Ransomware hujumlari kam uchraydi, shuning uchun kompyuteringizni har doim himoya qilish muhimdir. Muammo shundaki, keyingi infektsiya qanday formatda sodir bo'lishini hech kim bashorat qila olmaydi. Qanday bo'lmasin, xavflarni minimal darajaga tushirish uchun ushbu maqolada keltirilgan oddiy tavsiyalarga amal qilish kerak.

"Petya" virusi: uni qanday tutmaslik kerak, uni qanday ochish kerak, qaerdan kelgan - So'ngi yangiliklar"Faoliyatining" uchinchi kunida dunyoning turli mamlakatlaridagi 300 mingga yaqin kompyuterlarni zararlagan Petya to'lov dasturi virusi haqida va hozirgacha hech kim uni to'xtata olmadi.

Petya virusi - shifrni qanday ochish kerak, so'nggi yangiliklar. Kompyuterga qilingan hujumdan so'ng, Petya ransomware yaratuvchilari 300 dollar (bitkoinlarda) to'lashni talab qilmoqdalar, ammo foydalanuvchi pul to'lagan taqdirda ham Petya virusining shifrini ochishning imkoni yo'q. Petit-dan yangi virusda farqlarni ko'rgan va uni ExPetr deb nomlagan Kasperskiy laboratoriyasi mutaxassislari shifrni ochish muayyan troyan o'rnatilishi uchun noyob identifikatorni talab qilishini da'vo qilmoqda.

Ilgari ma'lum versiyalar shunga o'xshash shifrlovchilar Petya/Mischa/GoldenEye, o'rnatish identifikatorida buning uchun zarur bo'lgan ma'lumotlar mavjud edi. ExPetr misolida bu identifikator mavjud emas, deb yozadi RIA Novosti.

"Petya" virusi - qaerdan kelgan, so'nggi yangiliklar. Nemis xavfsizlik mutaxassislari ushbu to'lov dasturi qayerdan kelganligining birinchi versiyasini ilgari surdi. Ularning fikricha, Petya virusi M.E.Doc fayllari ochilganda kompyuterlar orqali tarqala boshlagan. Bu Ukrainada 1C-da taqiqlanganidan keyin qo'llaniladigan buxgalteriya dasturi.

Ayni paytda, Kasperskiy laboratoriyasi ExPetr virusining kelib chiqishi va tarqalish manbasi haqida xulosa chiqarishga hali erta ekanligini aytdi. Hujumchilarda katta ma'lumotlar bo'lgan bo'lishi mumkin. Masalan, avvalgi axborot byulletenidagi yoki boshqa ba'zi elektron pochta manzillari samarali usullar kompyuterlarga kirib borishi.

Ularning yordami bilan "Petya" virusi Ukraina va Rossiyani, shuningdek, boshqa mamlakatlarni to'liq quvvat bilan urdi. Ammo bu xakerlik hujumining asl miqyosi bir necha kundan keyin oydinlashadi, deya xabar beradi nashr.

"Petya" virusi: uni qanday tutmaslik kerak, uni qanday ochish kerak, qaerdan kelgan - so'nggi yangiliklar Kasperskiy laboratoriyasidan yangi nom - ExPetr nomini olgan Petya ransomware virusi haqida.